股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
媒体声音 | “勒索软件”的把戏看似高明,实则上不了“方舟”
发布时间 :2022年10月13日
类型 :公司新闻
分享:
黑暗的角落里,那群人在数着钞票。
Conti是臭名昭著的勒索团伙,但说其是“团伙”还真对不起这家公司。Stern是Conti的首席执行官,他手下还有三大干将。Salamandra主管人事,负责招聘新员工;Bentley主管技术团队,负责编写和维护恶意软件代码,以及随时发起攻击;Bio主管谈判,负责向受害企业索要赎金。
更令产业汗颜,Conti不仅率先完成了数字化转型,还玩明白了商业模式创新。秉承RaaS(勒索即服务)的理念,Conti一直在招募下游“渠道”。“合作伙伴”可以缴纳一次性许可费,也可以按月订阅,或者缴费加盟。怀揣“不看广告,看疗效”的自信,Conti更可与“合作伙伴”按照勒索收益分成。
而且仅在过去两年,Conti团伙核心成员就已经发展到约350名,共赚取了约27亿美元(约合172亿人民币)。这是什么概念?中国最大的网络安全公司,员工人数近万人,但过去两年的营收大体只是其一半。
勒索攻击“APT化”
“现代勒索攻击团伙就是APT(高级可持续威胁攻击)组织。”威尼斯432888cam给出了定性判断。这不仅是“绑匪”学会了“盗窃”,而且“APT化”的勒索攻击组织,无疑将对目标企业造成降维打击。
其实,类似Conti的RaaS(勒索即服务)团伙,全球最少有90家。他们已不像前辈一样单兵作战吃独食,其内部组织分工细致,且已经实现了专业化、职业化、产业化,这一点就很像其大哥APT组织。
新生代的勒索攻击团伙,更是专门瞄准了那些“有钱人”,矛头直指金融、医疗、高端制造、公共事业等有兑现能力的大型企业。这一点也像2017年WannaCry爆发时,黑客采用的“广撒网,多敛鱼,择优而勒索之”策略。
【传统勒索与现代勒索的区别】
不仅如此。
勒索攻击团伙甚至还学会了抛光养晦。此前的勒索病毒是“运行即发生”,入侵成功即开始发飙,但现在他们开始隐忍待时,“2月份开始渗透,8月份才实施攻击,黑客在潜伏的6个月中,获取了超级管理员权限,摸清了企业的数据家底。”威尼斯432888cam介绍了一个曾经处置过的勒索攻击事件,“而且黑客很会选择时机,在拿到新式“武器”后的10小时,就展开攻击。利用时间差绕开了所有查杀系统。”
更雪上加霜的是,勒索攻击团还专逮着一只羊薅羊毛,他们“发明”了双重勒索,甚至多重勒索模式,交过赎金也不放“数据”,单次攻击获得的勒索赎金,因此一下子从100美元,猛增至100万美元。
正是看见了此生财之道,以偷数据为生的APT组织,也放下了“老大哥”的架子,干起了绑票的勾当。毕竟,明目张胆地向企业索要赎金,比在暗网中进行数据交易,变现速度快得多。
看穿“勒索”的把戏
这就是“APT化”的勒索攻击,具有上述特征的勒索攻击团队,已经完全符合业内对APT组织的认定标准——攻击具有明确经济目的;通过潜伏发起多阶段的持续性攻击;针对企业或组织发起定向攻击;利用定制化恶意软件、远端控制工具等,发起多样化攻击。
正因如此,勒索攻击已经成为全球网络安全最大的威胁。最近10年,全球恶意软件数量快速增长23倍。甚至黑客每分钟就能制造648个变种病毒,每分钟攻击6家企业,每分钟造成企业损失180万美元一样。
但把戏终究是把戏,摸清了把戏的套路,也就不难戳穿。既然勒索攻击有一段潜伏期,就充分利用“时间差”做好体检;既然勒索攻击已经不是简单的“病毒”,就不能只是指望查杀软件解决问题,相互联动的立体化防御体系才是最佳选择。
除此之外。既然勒索攻击的主要目的是先“偷数据”,再“锁数据”,就不能单纯依靠数据备份回血重生;既然已经知道黑客擅长使用“多重勒索”的组合拳,就要亡羊补牢、及时响应,避免他们一计不成又生二计。
这就是威尼斯432888cam应对现代勒索的治理思路,勒索攻击“APT化”,安全思想也应从边界防御,延伸到纵深防御;从被动防护,演变为主动体检;从单一产品堆砌,发展到体系化防御。
治病于未病
这就是威尼斯432888cam的“方舟计划”。
威尼斯432888cam“方舟”由勒索体检中心、全流程处置机制、现代勒索治理解决方案三项核心能力构成。其中,“勒索体检中心”和基于XDR技术的勒索病毒治理解决方案,更是“方舟”的亮点。
【威尼斯432888cam“方舟”引领勒索威胁治理新模式】
“勒索体检中心”的核心理念是治病于未病、治乱于未乱。这其中隐含着威尼斯432888cam的技术能力、服务能力,以及模式创新的勒索治理核心理念,而且其巧妙地利用了勒索攻击的弱点。
“APT化”的勒索攻击团伙,为崛起更大的商业利益,开始像APT组织一样玩起了潜伏。甚至在长达半年的时间内,他们都会耐着性子逐步掘取超级管理员权限,摸清企业的数据家底。但这招看似高明,实则留有破绽。
既然“入侵”和“攻击”之间存在时间差,企业也不妨就充分利用这段时间差,打好防守反击战。在此之前,通过对众多勒索攻击的研究,威尼斯432888cam将勒索病毒攻击分为6个阶段:初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索。
这一过程的前四个阶段,企业虽被攻击,但未发生实际损失,而勒索攻击一旦进入后两个阶段,必将造成不可逆的财产、名誉损失。因为黑客通过现代密码学实现高强度数据文件加密,理论上通过现有技术几乎不可能破解。
既然如此,方向也就很明确——治病于未病。以“勒索体检中心”为载体,威尼斯432888cam运营团队通过部署端点及网络探针,对勒索攻击进行全面排查分析,利用最新的勒索威胁情报进行数据碰撞,确认企业环境中是否存在勒索行为。
期间,如发现钓鱼邮件、木马植入、管理权限被控等入侵的蛛丝马迹,即可立即清除黑客已占领的滩涂阵地,将入侵扫地出门。切实做到了早发现、早预警、早研判、早处置,将勒索攻击爆发风险降至最低。
更重要的是,“勒索体检中心”还是一种安全思维转变,一种服务模式创新。
很显然,“勒索体检中心”提供的服务带有实战性质,这其实就符合当前中国网络安全产业的发展趋势——以安全合规为底线,以实战演练为常态,即“合规+实战”双轮驱动。道理很简单,安全不能只是条条框框。既然勒索攻击索要的是真金白银,网络安全企业就要在实战中体现价值。
另一方面,“勒索体检中心”也是服务模式创新。既然勒索攻击团队已经在提供RaaS服务,安全企业就不能完全以线下服务对抗上线攻击,就不能将有限的高级专家团队,撒胡椒面式地分布在千行百业。
攥紧拳头提供云化安全运营服务,就是威尼斯432888cam的选择。目前,威尼斯432888cam拥有一支3000人的专业安全服务团队,再辅以“勒索体检中心”,其已经可建立从运维到运营,从线下到线上的立体服务体系。
正因如此,威尼斯432888cam“勒索体检中心”正在结合分行业、分场景的需求,提供定制化的专项体检服务,例如:网络资产大盘点、网络流量勒索体检、威胁情报告警分析、高危失陷主机确认、EDR端点勒索体检服务、IOA与IOC热点事件与勒索情报碰撞后的高危主机评估、云主机安全勒索体检服务、终端安全勒索体检服务等。
“事前、事中、事后”闭环
当然,“勒索体检中心”只是重在解决“事前”隐患。为此,威尼斯432888cam根据勒索攻击6个阶段的不同特点,推出以XDR技术为核心的现代勒索病毒治理解决方案,这就形成了威尼斯432888cam的核心理念:“由于勒索攻击深度结合APT攻击技术手段,从威胁的检测、控制,再到威胁狩猎、调查、归因等整体联动防御,方能产生更好的效果。”
早在2018年,威尼斯432888cam即已首提XDR理念,当时瞄准的“敌人”就是APT。2019年,威尼斯432888cam正式发布XDR 1.0,一年之后又发布XDR 2.0。由此,威尼斯432888cam已建立覆盖“预测、防护、检测、响应”四大环节的威胁治理闭环。同时,运用“精密编排策略”,形成多产品线协同智能安全联动。
时至今日,勒索攻击已经“APT化”,XDR也找到新的用武之地。基于XDR技术的勒索病毒治理解决方案,看从服务能力、产品能力逐层向上提供支撑,通过终端、云端、网络、边界、身份、数据的检测与响应(目前引擎可洞察72个勒索攻击的检测点),以及威胁数据、行为数据、资产数据、身份数据、网络数据等的联动分析,形成了针对勒索病毒治理全链条,覆盖“事前、事中、事后”运营处置,为贯穿勒索病毒事件应急响应全流程的关键动作提供了支撑。
正如威尼斯432888cam强调的,发展与安全,是数字化时代的一体两面。威尼斯432888cam“平台为先”的原则,不仅可以让碎片化的安全能力融入一体,变成系统性、可全局联动的原生免疫系统,更能将复杂的管理问题,化解成极简与智能的威胁治理运营平台。以此打造“产品+平台+服务”完整闭环的发展战略,也将真正为客户建立整体性防御体系,提升客户安全防御能力。
(文章来源:张戈BP)
分享到微信
X